Linux посмотреть установленные сертификаты

How to view all ssl certificates in a bundle?

I have a certificate bundle .crt file. doing openssl x509 -in bundle.crt -text -noout only shows the root certificate. how do i see all the other certificates?

14 Answers 14

openssl crl2pkcs7 -nocrl -certfile CHAINED.pem | openssl pkcs7 -print_certs -text -noout 

It indeed worked for me, but I don’t understand the details so can’t say if there are any caveats.

for openssl 1.1.1 and higher: a single-command answer can be found here serverfault.com/a/1079893 ( openssl storeutl -noout -text -certs bundle.crt )

This is the best answer — I won’t even post my over-kill Python solution! Leave out the «-text» to just get subject/issuer info for each certificate.

Java’s keytool does the trick:

Annotation: Windows doubleclick does not work. Windows reads only the first certificate in the keystore and automatically extends the trustchain from its built in certificate store.

1. All beyond the first certificate in the .crt file are not shown
2. You may get a different trustchain displayed than you have in the .crt file. This may lead to wrong conclusions.

Oneliner that displays a summary of every certificate in the file.

openssl crl2pkcs7 -nocrl -certfile CHAINED.pem | openssl pkcs7 -print_certs -noout 

It combines all the certificates into a single intermediate PKCS7 file, and then parses the information in each part of that file.

(The same as Beni’s answer, but this gives shorter output, without the -text option).

$ openssl crl2pkcs7 -nocrl -certfile bundled.crt | openssl pkcs7 -print_certs -noout subject=/C=NL/postalCode=5705 CN/L=City/street=Example 20/O=Foobar B.V./OU=ICT/OU=Wildcard SSL/CN=*.example.com issuer=/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Organization Validation Secure Server CA subject=/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Organization Validation Secure Server CA issuer=/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority subject=/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority issuer=/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Roo 

Источник

Где в Linux хранятся корневые сертификаты Центров Сертификации (CA)

Консолидированный файл, включающий в себя все корневые сертификаты CA операционной системы, находится в файле /etc/ssl/certs/ca-certificates.crt. Этот файл может быть символической ссылкой на фактическое расположение сертификатов в файлах /etc/ssl/cert.pem или /etc/ca-certificates/extracted/tls-ca-bundle.pem.

Корневые CA сертификаты в виде отдельных файлов расположены в директории /etc/ssl/certs, в этой директории могут быть ссылки на фактическое расположение сертификатов, например, в /etc/ca-certificates/extracted/cadir/.

Для просмотра Subject всех корневых CA сертификатов в системе:

awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/;' < /etc/ssl/certs/ca-certificates.crt

Эти сертификаты используются утилитоми curl, wget и другими. Веб-браузеры Chromium и Firefox используют свои собственные хранилища корневых CA сертификатов.

Чтобы узнать, где веб браузеры хранять корневые CA сертификаты в Linux, нам нужно познакомиться с NSS.

Mozilla Network Security Services (NSS)

Network Security Services (NSS) это набор библиотек, разработанных для поддержки кросс-платформенной разработки защищенных клиентских и серверных приложений. Приложения построенные с использование NSS могут использовать SSL v2 и v3, TLS, PKCS#5, PKCS#7, PKCS#11, PKCS#12, S/MIME, сертификаты X.509 v3 и другие стандарты обеспечения безопасности.

В отличие от OpenSSL, NSS использует файлы базы данных в качестве хранилища сертификатов.

NSS начинается с жёстко закодированного списка доверенных сертификатов CA внутри файла libnssckbi.so. Этот список можно просмотреть из любого приложения, использующего NSS, способного отображать (и манипулировать) хранилищем доверенных сертификатов, например, Chrome-совместимые или Firefox-совместимые браузеры.

Некоторые приложения, использующие библиотеку NSS, используют хранилище сертификатов, отличное от рекомендованного. Собственный Firefox от Mozilla является ярким примером этого.

В вашем дистрибутиве скорее всего уже установлен пакет NSS, в некоторых дистрибутивах он называется libnss3 (Debian и производные) в некоторых — nss (Arch Linux, Gentoo и производные).

Если вы хотите просматривать и изменять хранилища сертификатов NSS, то понадобиться утилита certutil. В Arch Linux эта утилита входит в пакет nss и, следовательно, предустановлена в Arch Linux. А в Debian и производные установка делается так:

sudo apt install libnss3-tools

Google Chrome / Chromium

Как уже было сказано, при работе на Linux, Google Chrome использует библиотеку Mozilla Network Security Services (NSS) для выполнения верификации сертификатов.

Корневые CA сертификаты, которые добавил пользователь, хранятся в файле ~/.pki/nssdb/cert9.db, их можно просмотреть командой:

Поскольку Chrome не может удалить сертификаты из хранилища NSS, то если вы отключите некоторые из них в настройках веб браузера (Privacy and security → Manage certificates → Authorities), то в том же файле, где хранятся добавленные пользователем корневые CA сертификаты, будут сохранены изменения о полномочиях отключённого сертификата:

Используемые в Google Chrome / Chromium корневые CA сертификаты в Linux можно посмотреть следующим причудливым способом:

1. Найдите расположение файла libnssckbi.so (как было сказано в предыдущем разделе, в нём NSS хранит доверенные корневые сертификаты):

Примеры расположений этого файла:

• /usr/lib/libnssckbi.so
• /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so

2. Теперь выполните команду вида:

ln -s /ПУТЬ/ДО/libnssckbi.so ~/.pki/nssdb

ln -s /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so ~/.pki/nssdb

2. Затем запустите команду:

certutil -L -d sql:$HOME/.pki/nssdb/ -h 'Builtin Object Token'

Вы увидите доверенные корневые сертификаты, которые использует Google Chrome в Linux.

Также вы можете просмотреть корневые CA сертификаты в настройках браузера:

Конфиденциальность и безопасность (выбрать «Ещё») → Настроить сертификаты → Центры сертификации, на английском это Privacy and security → Manage certificates → Authorities.

Firefox

Поскольку Firefox принадлежит Mozilla, то этот веб браузер, конечно, также использует Mozilla Network Security Services (NSS).

Стандартными расположениями папок с базами данных NSS являются:

• ~/.pki/nssdb (на уровне пользователей)
• /etc/pki/nssdb (на общесистемном уровне, может отсутствовать)

Firefox НЕ использует ни одно из этих стандартных расположений, база данных хранится в профиле пользователя, который имеет общий вид ~/.mozilla/firefox/СЛУЧАЙНЫЕ-БУКВЫ-ЦИФРЫ.default/cert9.db, например, ~/.mozilla/firefox/3k0r4loh.default/cert9.db.

Посмотреть корневые сертификаты CA которые использует Firefox в Linux можно следующей командой:

certutil -L -d ~/.mozilla/firefox/*.default/

У Firefox-esr это папка:

certutil -L -d ~/.mozilla/firefox/*.default-esr/

Также вы можете просмотреть корневые CA сертификаты в настройках браузера:

Приватность и Защита → Сертификаты → Просмотр сертификатов → Центры сертификации:

Thunderbird

Чтобы просмотреть, каким CA доверяет Thunderbird:

certutil -L -d ~/.thunderbird/*.default/

Чтобы найти все файлы cert9.db выполните команду:

Для глубокого понимания OpenSSL смотрите также полное руководство: «OpenSSL: принципы работы, создание сертификатов, аудит».

Связанные статьи:

Источник

Как просмотреть сертификаты в Linux?

Щелкните вкладку «Содержимое». В разделе «Сертификаты» щелкните «Сертификаты». Чтобы просмотреть сведения о любом сертификате, выберите сертификат и нажмите «Просмотр».

Как проверить, какие сертификаты установлены в Linux?

Это можно сделать с помощью следующей команды: sudo update-ca-Certificates. Вы заметите, что команда сообщает об установленных сертификатах, если это необходимо (в современных установках может уже быть корневой сертификат).

Как мне прочитать файл сертификата в Linux?

Проверка с помощью OpenSSL

1. Проверка запроса на подпись сертификата (CSR) openssl req -text -noout -verify -in CSR.csr.
2. Проверить закрытый ключ openssl rsa -in privateKey.key -check.
3. Проверить сертификат openssl x509 -in certificate.crt -text -noout.
4. Проверьте файл PKCS # 12 (.pfx или.p12) openssl pkcs12 -info -in keyStore.p12.

Как просмотреть файл сертификата?

Еще один простой способ просмотреть информацию в сертификате на машине Windows - это просто дважды щелкнуть файл сертификата. Вы можете использовать эту программу просмотра сертификатов, просто вставив текст вашего сертификата в поле ниже, а Декодер сертификатов сделает все остальное.

Как узнать, какие сертификаты установлены на сервере UNIX?

Используйте openssl s_client -showcerts -connect the-git-server: 443, чтобы получить список отправляемых сертификатов.

Что такое SSL-сертификат в Linux?

SSL-сертификат - это способ зашифровать информацию сайта и создать более безопасное соединение. Центры сертификации могут выдавать сертификаты SSL, которые проверяют данные сервера, в то время как самозаверяющий сертификат не имеет подтверждения третьей стороной. Это руководство написано для Apache на сервере Ubuntu.

Где находится хранилище ключей в Linux?

В Linux файл хранилища ключей cacerts находится в папке & lt; RA Home & gt; / jre / lib / security, но его нельзя найти в AIX.

Как читать благодарственную грамоту?

Сертификат признательности Формулировка

1. Группа или организация, выдающая сертификат (Steward Chemical)
2. Название (Сертификат признательности, Сертификат признания, Сертификат достижения)
3. Формулировка презентации (настоящим предоставляется, предоставляется)
4. Имя получателя (Джеймс Уильямс)
5. Причина (в знак признания 20 лет выдающейся работы)

Как просмотреть файлы p12?

Вы можете просмотреть содержимое ключа p12, установив OpenSSL, инструментарий криптографии с открытым исходным кодом, и введя команду openssl pkcs12 -info -nodes -in yourfilename. p12 в командной строке вашего ПК.

Как установить SSL-сертификат в Linux?

Как установить сертификат SSL на серверы Linux, на которых нет Plesk.

1. Первым и самым важным шагом является загрузка сертификата и важных файлов ключей. …
2. Войти на сервер. …
3. Укажите пароль root.
4. На следующем шаге можно увидеть /etc/httpd/conf/ssl.crt. …
5. Затем переместите ключевой файл также в /etc/httpd/conf/ssl.crt.

Как посмотреть SSL-сертификат в Chrome?

Как просмотреть сведения о сертификате SSL в Chrome 56

1. Откройте Инструменты разработчика.
2. Выберите вкладку «Безопасность», которая является второй справа, с настройками по умолчанию.
3. Выберите Просмотр сертификата. Откроется программа просмотра сертификатов, к которой вы привыкли.

Где хранится сертификат SSL?

В системах Linux на базе Debian эти корневые сертификаты хранятся в папке / etc / ssl / certs вместе с файлом под названием ca-Certificates. crt. Этот файл представляет собой набор всех корневых сертификатов в системе.

Где хранятся SSL-сертификаты Linux?

Правильное место для хранения вашего сертификата - это каталог / etc / ssl / certs /.

Где хранится закрытый ключ SSL?

Открытый ключ и закрытый ключ

Открытый ключ встроен в сертификат SSL, а закрытый ключ хранится на сервере и хранится в секрете. Когда посетитель сайта заполняет форму с личной информацией и отправляет ее на сервер, информация шифруется открытым ключом для защиты от подслушивания.

Похожие сообщения:

Источник